資訊安全管理 - 國立成功大學
資訊安全管理 - 國立成功大學 資訊安全管理 - 國立成功大學
資 訊 安 全 管 理 主 講 人 : 李 忠 憲 副 教 授 國 立 成 功 大 學 電 機 工 程 學 系 副 教 授 TEL:(06)2757575 Ext. 62385 E-mail: jsli@mail.ncku.edu.tw Fax: (06)2345482 1
- Page 2 and 3: 大 綱 • 前 言 • 安 全 等
- Page 4 and 5: •D 類 最 小 的 保 護 •
- Page 6 and 7: 安 全 等 級 ( 四 ) •A 類
- Page 8 and 9: TCSEC ITSEC 共 同 準 則 確 認
- Page 10 and 11: 資 訊 安 全 基 本 概 念 (
- Page 12 and 13: 資 訊 安 全 基 本 概 念 (
- Page 14 and 15: • 認 證 管 理 程 序 (1/12)
- Page 16 and 17: 管 理 程 序 (3/12) • 應 變
- Page 18 and 19: 管 理 程 序 (5/12) • 使 用
- Page 20 and 21: • 人 員 安 全 管 理 程 序
- Page 22 and 23: 管 理 程 序 (9/12) • 安 全
- Page 24 and 25: 管 理 程 序 (11/12) • 結 束
- Page 26 and 27: 管 理 程 序 (12/12B) • 文
- Page 28 and 29: • 指 定 安 全 責 任 實 體
- Page 30 and 31: 實 體 防 護 (3/4) • 實 體
- Page 32 and 33: 技 術 安 全 服 務 • 技 術
- Page 34 and 35: • 稽 核 控 制 技 術 安 全
- Page 36 and 37: • 資 料 確 認 技 術 安 全
- Page 38 and 39: • 技 術 安 全 機 制 技 術
資 訊 安 全 管 理<br />
主 講 人 : 李 忠 憲 副 教 授<br />
國 立 成 功 大 學 電 機 工 程 學 系 副 教 授<br />
TEL:(06)2757575 Ext. 62385<br />
E-mail: jsli@mail.ncku.edu.tw<br />
Fax: (06)2345482<br />
1
大<br />
綱<br />
• 前 言<br />
• 安 全 等 級<br />
• 資 訊 安 全 基 本 概 念<br />
• 美 國 HIPAA 法 案<br />
• 結 語<br />
2<br />
Cryptology & Network Security Lab.
安 全 等 級 ( 一 )<br />
•1983 年 美 國 國 防 部 提 出 「 可 信 賴 電 腦<br />
系 統 評 測 標 準 」<br />
•TCSEC 橘 皮 書<br />
•A 類 經 過 驗 證 的 保 護<br />
•B 類 強 制 保 護<br />
•C 類 無 條 件 的 保 護<br />
•D 類 最 小 的 保 護<br />
3<br />
Cryptology & Network Security Lab.
•D 類 最 小 的 保 護<br />
• 最 低 的 一 類<br />
• 早 期 商 用 系 統<br />
安 全 等 級 ( 二 )<br />
•C 類 無 條 件 的 保 護<br />
• 需 要 則 知 道 的 保 護<br />
• C1 任 意 的 安 全 保 護 早 期 的 UNIX 系 統<br />
• C2 存 取 控 制 保 護<br />
4<br />
Cryptology & Network Security Lab.
•B 類 強 制 保 護<br />
安 全 等 級 ( 三 )<br />
•B1 標 籤 安 全 保 護<br />
• B2 結 構 安 全 保 護<br />
• B3 安 全 域 保 護<br />
5<br />
Cryptology & Network Security Lab.
安 全 等 級 ( 四 )<br />
•A 類 經 過 驗 證 的 保 護<br />
• 建 立 在 具 有 結 構 、 規 範 與 資 訊 流 密 閉<br />
的 形 式 模 型 基 礎 之 上<br />
•A1 經 過 驗 證 保 護<br />
• 銀 行 界 一 般 都 使 用 滿 足 C2 級 或 更 高 的<br />
電 腦 系 統<br />
6<br />
Cryptology & Network Security Lab.
安 全 等 級 ( 五 )<br />
•1987 年 的 紅 皮 書 TNI<br />
• 接 手 橘 皮 書 的 所 有 要 求 , 並 且 試 圖 解<br />
決 網 路 環 境 所 帶 來 的 新 挑 戰 ;<br />
• IPv4 and IPv6<br />
•1989 年 德 國 的 綠 皮 書<br />
•1990 年 加 拿 大 準 則<br />
•1991 年 ITSEC<br />
•1992 年 聯 邦 準 則<br />
7<br />
Cryptology & Network Security Lab.
TCSEC ITSEC 共 同 準 則 確 認 等 級<br />
D<br />
EAL1 功 能 測 試<br />
C1 E1 EAL2 結 構 測 試<br />
C2 E2 EAL3 系 統 化 測 試 和 檢 查<br />
B1 E3 EAL4 系 統 化 設 計 、 測 試 和 複 查<br />
B2 E4 EAL5 半 正 規 化 設 計 和 測 試<br />
B3 E5 EAL6 半 正 規 化 查 證 的 設 計 和 測 試<br />
A1 E6 EAL7 正 規 化 查 證 的 設 計 和 測 試<br />
8<br />
Cryptology & Network Security Lab.
資 訊 安 全 基 本 概 念 ( 一 )<br />
• 資 訊 安 全 CIA<br />
• 保 密 性 (Confidentiality)<br />
• 完 整 性 (Integrity)<br />
• 可 用 性 (Availability)<br />
9<br />
Cryptology & Network Security Lab.
資 訊 安 全 基 本 概 念 ( 二 )<br />
• 保 密 性 : 確 保 獲 得 授 權 的 使 用 者 可 以 存 取 資<br />
訊 ;<br />
• 檔 案 的 機 密 性<br />
• 秘 密 、 機 密 及 極 機 密 國 家 機 密<br />
• 時 效 性 宋 子 文 案 件<br />
• 資 訊 傳 輸 的 保 密 性<br />
• 傳 輸 流 量 的 機 密 性<br />
10<br />
Cryptology & Network Security Lab.
資 訊 安 全 基 本 概 念 ( 三 )<br />
• 完 整 性 : 提 供 資 料 的 正 確 性<br />
• 檔 案 的 完 整 性<br />
• 紙 張 簽 名 ヽ 裝 訂 成 冊 ヽ 備 份<br />
• 電 子 文 件 存 取 控 制<br />
• 資 料 傳 輸 的 完 整 性<br />
11<br />
Cryptology & Network Security Lab.
資 訊 安 全 基 本 概 念 ( 四 )<br />
• 可 用 性 : 讓 資 訊 保 持 可 用 的 狀 態<br />
• 備 份<br />
• 異 地 備 援<br />
• 容 錯 轉 移<br />
• 災 難 復 原<br />
12<br />
Cryptology & Network Security Lab.
HIPAA 法 案 簡 介<br />
• 美 國 聯 邦 政 府 於 1996 年 通 過 HIPAA 法 案<br />
• 規 範 資 訊 之 安 全 性 與 機 密 性 並 符 合 個 人 隱 私 需 求<br />
• 管 理 程 序<br />
• 實 體 防 護<br />
• 技 術 安 全 服 務<br />
• 技 術 安 全 機 制<br />
13<br />
Cryptology & Network Security Lab.
• 認 證<br />
管 理 程 序 (1/12)<br />
• 資 訊 系 統 及 網 路 設 計<br />
• 符 合 預 定 安 全 目 標<br />
• 經 內 部 稽 核 或 公 認 機 構 認 證 通 過<br />
14<br />
Cryptology & Network Security Lab.
管 理 程 序 (2/12)<br />
• 與 合 作 組 織 間 的 協 議<br />
• 例 如 醫 院 間 的 轉 診 或 檢 驗 報 告 查 詢 系<br />
統 安 全 保 密 合 約<br />
15<br />
Cryptology & Network Security Lab.
管 理 程 序 (3/12)<br />
• 應 變 計 畫<br />
• 要 有 事 故 應 變 程 序 步 驟<br />
• 2003.03.01 阿 里 山 小 火 車 事 件<br />
• 2003.03 中 旬 的 SARS 事 件 法 定 傳 染 病<br />
• 如 停 電 或 火 災 等 臨 時 事 變<br />
• 誰 來 指 揮 ;<br />
• 定 期 測 驗 ;<br />
16<br />
Cryptology & Network Security Lab.
管 理 程 序 (4/12)<br />
• 處 理 記 錄 的 正 式 機 制<br />
• 關 於 處 理 例 行 與 非 例 行 醫 療 資 訊 之 資<br />
料 搜 集 、 操 作 、 儲 存 、 散 播 與 控 制 之<br />
政 策 與 程 序<br />
• 記 載 於 正 式 文 件<br />
17<br />
Cryptology & Network Security Lab.
管 理 程 序 (5/12)<br />
• 使 用 者 權 限<br />
• 掛 號 人 員 病 患 之 基 本 資 料<br />
• 醫 師 人 員 病 歷 資 料<br />
• 病 患 個 人 資 料<br />
18<br />
Cryptology & Network Security Lab.
• 內 部 稽 核<br />
管 理 程 序 (6/12)<br />
• 系 統 活 動 記 錄 之 內 部 稽 核 機 制<br />
• 程 序<br />
19<br />
Cryptology & Network Security Lab.
• 人 員 安 全<br />
管 理 程 序 (7/12)<br />
• 保 留 完 整 授 權 記 錄<br />
• 確 保 授 予 使 用 者 適 當 的 權 限<br />
• 離 職 員 工 的 權 限 移 除<br />
• 確 保 系 統 使 用 者 接 受 與 安 全 常 識 有 關<br />
之 訓 練<br />
20<br />
Cryptology & Network Security Lab.
• 安 全 結 構 管 理<br />
管 理 程 序 (8/12)<br />
• 完 整 的 文 件 說 明 與 記 錄<br />
• 安 裝 軟 硬 體 設 備 測 試 系 統 安 全 功 能<br />
• 測 試 安 全 機 制<br />
• 偵 測 電 腦 病 毒<br />
21<br />
Cryptology & Network Security Lab.
管 理 程 序 (9/12)<br />
• 安 全 事 件 處 理 程 序<br />
• 事 先 規 劃 發 生 安 全 侵 害 時 的 報 告 及 反<br />
應 程 序<br />
• 如 民 雄 鄉 公 所 資 安 事 件 處 理 方 式<br />
22<br />
Cryptology & Network Security Lab.
管 理 程 序 (10/12)<br />
• 安 全 管 理 程 序<br />
• 建 立 、 管 理 並 監 督 與 預 防 機 制 及 發 生<br />
安 全 侵 害 時 之 封 鎖 、 修 正 與 損 壞 分 析<br />
有 關 之 政 策 讓 損 失 降 到 最 輕<br />
23<br />
Cryptology & Network Security Lab.
管 理 程 序 (11/12)<br />
• 結 束 程 序<br />
• 員 工 離 職 時<br />
• 更 換 門 鎖 及 門 禁 密 碼<br />
• 移 除 該 員 工 之 系 統 使 用 權 限<br />
• 移 除 該 使 用 者 的 帳 號<br />
24<br />
Cryptology & Network Security Lab.
• 訓 練<br />
管 理 程 序 (12/12)<br />
• 定 期 宣 導 安 全 管 理<br />
• 訓 練 使 用 者 , 加 強 其 防 毒 與 個 人 密 碼<br />
管 理 知 識<br />
25<br />
Cryptology & Network Security Lab.
管 理 程 序 (12/12B)<br />
• 文 宣 海 報 之 標 題<br />
• 常 見 的 員 工 錯 誤 : 密 碼 寫 下 或 者 共 用 ;<br />
• 常 見 的 失 誤 : 社 交 工 程 ;<br />
• 重 要 的 安 全 資 訊 : 當 有 可 疑 的 安 全 事 件 時 應<br />
該 聯 絡 誰 ;<br />
• 當 前 的 安 全 主 題 : 防 毒 或 遠 端 存 取 安 全<br />
• 可 以 幫 助 員 工 的 議 題 : 如 何 保 護 可 攜 式 電<br />
腦 ;<br />
26<br />
Cryptology & Network Security Lab.
• 實 體 防 護<br />
實 體 防 護<br />
• 在 維 護 資 料 之 一 致 性 、 機 密 性 與 可 用 性<br />
• 指 定 安 全 責 任<br />
• 媒 體 控 管<br />
• 實 體 使 用 控 制<br />
• 工 作 站 管 理 政 策<br />
27<br />
Cryptology & Network Security Lab.
• 指 定 安 全 責 任<br />
實 體 防 護 (1/4)<br />
• 建 立 管 理 階 層 之 資 料 保 護 、 管 理 與 監 督 職<br />
責<br />
28<br />
Cryptology & Network Security Lab.
• 媒 體 控 管<br />
實 體 防 護 (2/4)<br />
• 軟 硬 體 的 安 裝 / 移 除<br />
• 資 料 備 份<br />
• 資 料 儲 存 及 處 置<br />
• 記 載 於 正 式 文 件<br />
29<br />
Cryptology & Network Security Lab.
實 體 防 護 (3/4)<br />
• 實 體 使 用 控 制<br />
• 災 難 復 原<br />
• 緊 急 處 理 模 式<br />
• 設 備 控 制<br />
• 設 施 安 全 計 畫<br />
• 授 權 確 認 機 制<br />
• 設 備 維 修 記 錄<br />
30<br />
Cryptology & Network Security Lab.
實 體 防 護 (4/4)<br />
• 工 作 站 管 理 政 策<br />
• 依 功 能 性 質 安 裝 適 當 的 工 作 站<br />
• 防 止 他 人 未 經 授 權 使 用 其 他 功 能<br />
31<br />
Cryptology & Network Security Lab.
技 術 安 全 服 務<br />
• 技 術 安 全 服 務<br />
• 除 維 護 資 料 之 一 致 性 、 機 密 性 與 可 用 性 之 外 , 還 包 括<br />
保 護 、 控 制 及 監 督 使 用 資 訊 的 程 序<br />
• 使 用 權 限 控 制<br />
• 稽 核 控 制<br />
• 授 權 控 制<br />
• 資 料 確 認<br />
• 實 體 確 認<br />
32<br />
Cryptology & Network Security Lab.
技 術 安 全 服 務 (1/5)<br />
• 使 用 權 限 控 制<br />
• 依 使 用 者 來 區 分<br />
• 病 人 、 掛 號 人 員 、 藥 師 或 者 醫 師<br />
• 依 職 務 區 分<br />
• 主 治 醫 師 、 住 院 醫 師 、 護 士 …<br />
33<br />
Cryptology & Network Security Lab.
• 稽 核 控 制<br />
技 術 安 全 服 務 (2/5)<br />
• 資 料 查 詢 、 登 錄 、 更 改 或 刪 除 之 機 制<br />
34<br />
Cryptology & Network Security Lab.
• 授 權 控 制<br />
技 術 安 全 服 務 (3/5)<br />
• 實 體 確 認<br />
• 自 動 登 出 帳 號<br />
• 使 用 者 唯 一 識 別 碼<br />
35<br />
Cryptology & Network Security Lab.
• 資 料 確 認<br />
技 術 安 全 服 務 (4/5)<br />
• 避 免 資 料 未 經 許 可 或 授 權 之 更 動<br />
• 避 免 資 料 未 經 許 可 或 授 權 之 刪 除<br />
• 建 立 資 料 確 認 機 制<br />
36<br />
Cryptology & Network Security Lab.
• 實 體 確 認<br />
技 術 安 全 服 務 (5/5)<br />
• 為 避 免 冒 名 頂 替 情 況 發 生<br />
• 如 利 用 自 然 人 憑 證 、IC 卡 系 統 與 微 軟 系 統<br />
結 合 , 達 到 實 體 認 證 的 效 果<br />
37<br />
Cryptology & Network Security Lab.
• 技 術 安 全 機 制<br />
技 術 安 全 機 制<br />
• 建 立 防 範 透 過 網 路 未 授 權 使 用 資 料 之 程 序<br />
• 一 致 性 控 制<br />
• 訊 息 確 認<br />
• 使 用 權 控 制 或 加 密<br />
38<br />
Cryptology & Network Security Lab.
結<br />
論<br />
• 做 好 資 訊 安 全 的 防 護 , 降 低 遭 受 駭 客 攻<br />
擊 損 失<br />
• 常 注 意 所 用 軟 體 的 更 新 及 資 訊 安 全 相 關<br />
的 訊 息<br />
39<br />
Cryptology & Network Security Lab.